Politique de confidentialité

Dernière mise à jour : 15 janvier 2026

Conforme au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le site Vinyl Wishlist est :

Nom : Barray Lucas

SIRET : 10595282400016

Contact DPD : support@vinyl-wishlist.com

En tant que structure de moins de 250 employés ne traitant pas de données sensibles à grande échelle, nous ne sommes pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPO). Toute demande relative à vos données peut être adressée à l'e-mail ci-dessus.

2. Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service. Aucune donnée n'est vendue à des tiers.

Catégorie
Finalité & base légale
Conservation

Compte utilisateur

Nom, adresse e-mail, mot de passe (haché bcrypt)

Authentification et gestion du compte

Exécution du contrat

Durée du compte + 3 ans

Listes de souhaits

Contenu des listes, paramètres de personnalisation, photo de profil

Fourniture du service

Exécution du contrat

Durée du compte

Collection personnelle

Disques, état, prix d'achat, notes personnelles

Fonctionnalité collection (plan premium)

Exécution du contrat

Durée du compte

Réservation anonyme

Token de réservation (aléatoire, non lié à une identité)

Permettre la déréservation

Intérêt légitime

Jusqu'à utilisation du token ou suppression du vinyle

Paiement

Identifiant client Stripe, identifiant abonnement, période de validité

Gestion des abonnements

Exécution du contrat

Durée légale (10 ans pour les pièces comptables)

Logs techniques

Adresse IP, horodatage des requêtes

Sécurité et débogage

Intérêt légitime

90 jours

3. Cookies

Vinyl Wishlist utilise un nombre minimal de cookies, tous strictement nécessaires au fonctionnement du service. Nous n'utilisons aucun cookie publicitaire, aucun tracker tiers, et aucun outil d'analytics.

Nom
Finalité
Durée
next-auth.session-token
Session d'authentification (JWT NextAuth)
Session / 30 jours
next-auth.csrf-token
Protection contre les attaques CSRF
Session
__stripe_mid / __stripe_sid
Détection de fraude Stripe (obligatoire pour le paiement)
1 an / session

Ces cookies étant strictement nécessaires, ils ne nécessitent pas votre consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL.

4. Sous-traitants et transferts de données

Nous faisons appel aux sous-traitants suivants, avec lesquels des garanties contractuelles conformes au RGPD ont été mises en place :

Scaleway SAS

Hébergement (serveurs en France, UE)

🇫🇷 France — pas de transfert hors UE

Politique →

Stripe, Inc.

Traitement des paiements et gestion des abonnements

🇺🇸 USA — Stripe est certifié PCI-DSS et encadré par les clauses contractuelles types (CCT) de la Commission européenne

Politique →

Discogs LLC

API de recherche de disques (lecture seule, pas de données utilisateur transmises)

🇺🇸 USA — aucune donnée personnelle transmise

Politique →

5. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles :

  • Mots de passe stockés sous forme hachée (bcrypt, coût 10)
  • Communications chiffrées via HTTPS / TLS
  • Sessions gérées par token JWT signé (NextAuth)
  • Tokens de réservation générés aléatoirement (64 caractères hexadécimaux), à usage unique
  • Aucune donnée de carte bancaire stockée sur nos serveurs — traitement délégué à Stripe (PCI-DSS niveau 1)
  • Accès aux données de production restreint à l'éditeur

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (art. 15 RGPD)

Vous pouvez demander une copie de toutes les données personnelles vous concernant que nous détenons.

Droit de rectification (art. 16 RGPD)

Vous pouvez corriger des données inexactes ou incomplètes vous concernant depuis les paramètres de votre compte ou par e-mail.

Droit à l'effacement (art. 17 RGPD)

Vous pouvez demander la suppression de votre compte et de toutes les données associées. La suppression sera effective sous 30 jours, sauf obligations légales de conservation.

Droit à la portabilité (art. 20 RGPD)

Vous pouvez demander l'export de vos données dans un format structuré et lisible par machine (JSON).

Droit d'opposition (art. 21 RGPD)

Vous pouvez vous opposer au traitement de vos données fondé sur notre intérêt légitime (logs techniques).

Droit à la limitation (art. 18 RGPD)

Vous pouvez demander la limitation du traitement de vos données dans les cas prévus par le RGPD.

Exercer vos droits

Envoyez votre demande à privacy@votredomaine.com. Nous y répondrons dans un délai maximum de 30 jours. Une pièce justificative d'identité pourra vous être demandée.

Vous avez également le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr

7. Modifications de la politique

Nous nous réservons le droit de modifier cette politique à tout moment pour refléter l'évolution du service ou des obligations légales. En cas de modification substantielle, les utilisateurs disposant d'un compte seront informés par e-mail au moins 30 jours avant l'entrée en vigueur des changements. La poursuite de l'utilisation du service après cette date vaut acceptation de la nouvelle politique.

Mentions légales →Conditions générales d'utilisation →